VPC 内のリソース (Elastic Compute Service (ECS) や Elastic Container Instance (ECI) など) が NAT Gateway を介してインターネットにアクセスすると、不正アクセス、データ漏えい、悪意のある攻撃などのセキュリティリスクにさらされます。これらのリスクを軽減するために、NAT ファイアウォールを有効にすることができます。NAT ファイアウォールは Cloud Firewall を使用して不正なトラフィックをブロックします。このトピックでは、NAT ファイアウォールの設定方法について説明します。
この動画では、NAT Gateway の保護方法を紹介します。
はじめに
仕組み
NAT ファイアウォールは、ワンクリック有効化、アセット同期、アクセス制御ポリシーの設定、トラフィック分析、ログ監査をサポートしています。
NAT ファイアウォールを有効にすると、VPC 内のプライベートアセットから関連する NAT Gateway へのすべてのアウトバウンドトラフィックが検査されます。これには、同じ VPC 内および異なる VPC 間のアセットが含まれます。NAT ファイアウォールは、設定されたアクセス制御ポリシーと Cloud Firewall の組み込み脅威インテリジェンスライブラリに基づいてトラフィックを評価します。送信元/宛先アドレス、ポート、プロトコル、アプリケーション、ドメインなどの要素を照合して、トラフィックを許可するかどうかを判断します。このプロセスにより、プライベートアセットからの不正なインターネットアクセスを防ぎます。
サービスへの影響
NAT ファイアウォールを有効または無効にすると、Cloud Firewall はルート切り替えを実行します。これにより、長時間接続で 1~2 秒の瞬断が発生します。短時間接続は影響を受けません。ご利用のサービスへの影響を最小限に抑えるために、これらの操作はオフピーク時間中に実行してください。
NAT ファイアウォールの作成は、ご利用のサービスに影響を与えません。ただし、作成時にファイアウォールを有効にすることを選択した場合、長時間接続で 1~2 秒の瞬断が発生します。短時間接続は影響を受けません。
説明NAT ファイアウォールの作成にかかる時間は、NAT Gateway にバインドされている EIP の数によって異なります。EIP が 1 つ追加されるごとに、作成時間は約 2~5 分増加します。このプロセスは、ご利用のサービスに影響を与えません。
NAT ファイアウォールを無効にしてから削除しても、ご利用のサービスに影響はありません。
トラフィックが購入した Cloud Firewall エディションの仕様を超えた場合、サービスレベルアグリーメント (SLA) は保証されません。これにより、セキュリティ機能 (アクセス制御、IPS、ログ監査など) の無効化、トラフィック制限を超えたアセットのファイアウォールのシャットダウン、パケット損失を引き起こすレート制限など、サービス低下がトリガーされる可能性があります。
トラフィックが購入した制限を超える可能性がある場合は、従量課金制の弾性トラフィックを有効にすることを推奨します。
制限事項
NAT ファイアウォールを有効にした後、ファイアウォールの vSwitch 内のルートや、ネクストホップが NAT ファイアウォールであるルートを変更しないでください。これらのルートを変更すると、サービス中断が発生する可能性があります。
NAT ファイアウォールを有効にした後で VPC 間保護のために新しい CIDR ブロックを追加するには、ファイアウォールの vSwitch のルートテーブルを手動で更新する必要があります。ファイアウォールが後で無効になった場合にルーティングの問題を防ぐために、ファイアウォールが有効になる前に使用されていたルートテーブルの対応するルートも更新することを推奨します。
Cloud Firewall インスタンスの有効期限が切れ、時間内に更新しない場合、NAT ファイアウォールは自動的にリリースされます。その後、トラフィックは元のアウトバウンドルートに戻りますが、これにより短いサービス中断が発生する可能性があります。
サービス可用性を確保するために、自動更新を有効にするか、事前にサブスクリプションを更新することを推奨します。詳細については、「更新」をご参照ください。
NAT ファイアウォールが 2023 年 9 月 1 日より前に作成された場合、同じタプル (宛先 IP と宛先ポート) へのすべてのネットワーク接続の最大保護帯域幅は 20 Mbps です。同じタプルへの接続の帯域幅が 20 Mbps を超えると、ネットワークジッターが発生する可能性があります。この帯域幅制限を増やすには、NAT ファイアウォールを削除して再作成することを推奨します。
2023 年 9 月 1 日以降に作成された NAT ファイアウォールには、この 20 Mbps の帯域幅制限はありません。
NAT ファイアウォールは IPv6 トラフィックを保護しません。
NAT ファイアウォールを作成すると、SNAT エントリが自動的に追加されます。新しい SNAT エントリの数は、NAT Gateway にバインドされている EIP の数と同じです。Cloud Firewall によって作成された SNAT エントリを削除または変更しないでください。
一般的な NAT クォータ を表示して、NAT Gateway の SNAT エントリのクォータについて確認できます。このクォータの一部を NAT ファイアウォール用に予約してください。予約する SNAT エントリの数は、NAT Gateway に関連付けられている EIP の数と同じでなければなりません。
ワークフロー
以下のフローチャートは、NAT ファイアウォールを使用するプロセスを示しています。
Cloud Firewall は、デフォルトで一定数の NAT ファイアウォールライセンスを提供します。この数が不十分な場合は、追加のライセンスを購入する必要があります。詳細については、「Cloud Firewall の購入」をご参照ください。
前提条件
Cloud Firewall を有効にし、十分な数の NAT ファイアウォールライセンスを購入していること。詳細については、「Cloud Firewall の購入」をご参照ください。
インターネット NAT Gateway を作成していること。詳細については、「インターネット NAT Gateway」をご参照ください。
重要現在、NAT ファイアウォールはインターネット NAT Gateway のみを保護します。
NAT Gateway は、以下の条件を満たす必要があります。
NAT Gateway のリージョンが NAT ファイアウォールをサポートしていること。サポート対象リージョンのリストについては、「サポート対象リージョン」をご参照ください。
NAT Gateway が 1 つ以上 10 個以下の EIP にバインドされていること。詳細については、「インターネット NAT Gateway」をご参照ください。
NAT Gateway に SNAT エントリが設定されており、DNAT エントリがないこと。詳細については、「SNAT エントリの作成と管理」をご参照ください。
NAT Gateway に既存の DNAT エントリがある場合は、NAT ファイアウォールを有効にする前にそれらを削除する必要があります。詳細については、「DNAT エントリの作成と管理」をご参照ください。
NAT Gateway の VPC に、`0.0.0.0/0` を NAT Gateway に向けるルートエントリがあること。詳細については、「ルートテーブルの作成と管理」をご参照ください。
VPC に、少なくとも /28 マスクを持つ利用可能な CIDR ブロックがあること。セカンダリ CIDR ブロックもサポートされています。
NAT ファイアウォールの作成と有効化
以下の手順に従って、NAT ファイアウォールを作成します。各 NAT Gateway インスタンスは、1 つの NAT ファイアウォールに対応します。
注意事項
新しい NAT Gateway が NAT ファイアウォールサービスと同期するには 1~5 分かかります。
NAT Gateway の新しい EIP と SNAT エントリが NAT ファイアウォールと同期するには 1~2 分かかります。EIP と SNAT エントリは、同期が完了するまで有効になりません。
または、 ページで、Synchronize Assets をクリックして手動で同期することもできます。
NAT Gateway を指す新しいルートが NAT ファイアウォールと同期するには最大 30 分かかります。
または、 ページで、Synchronize Assets をクリックして手動でルートを同期することもできます。
NAT ファイアウォールを作成すると、Cloud Firewall は以下の操作を実行します。
ファイアウォールの vSwitch のルートテーブルに、NAT Gateway を指す `0.0.0.0/0` ルートを追加します。
システムルートテーブルの `0.0.0.0/0` ルートエントリを変更し、そのネクストホップを Cloud Firewall ENI に設定します。
説明NAT ファイアウォールを作成すると、VPC にカスタムルートテーブルが追加されます。VPC に Flannel ネットワークプラグインを使用する ACK クラスターが含まれている場合、ファイアウォールの作成後に Cloud Controller Manager のマルチルートテーブル機能を設定する必要があります。VPC システムルートテーブルをマルチルートテーブルのリストに追加してください。そうしないと、クラスターノードのスケーリングに影響が出る可能性があります。詳細については、「VPC のマルチルートテーブル機能の使用」をご参照ください。
すでに Cloud Controller Manager のマルチルートテーブル機能を使用している場合は、この注意を無視できます。
操作手順
Cloud Firewall コンソールにログインします。 左側のナビゲーションウィンドウで、スイッチ をクリックします。
NAT Firewall タブで、対象の NAT Gateway を見つけ、その 操作する 列にある 作成 をクリックします。
NAT ファイアウォールの作成 パネルで、ワンクリックでチェック開始 をクリックします。確認が完了し、すべての項目が合格したら、次へ をクリックします。
NAT Gateway がすべての作成要件を満たしていることが確かな場合は、スキップして直接作成 をクリックできます。
ビジネスニーズに合ったトラフィックリダイレクトモードを選択します。
vSwitch を自動的に作成 (推奨): 十分な CIDR ブロックがあるシナリオに推奨されます。このモードは、完全に自動化されたトラフィックリダイレクトを提供します。
vSwitch を手動で選択: CIDR ブロックの可用性が限られているシナリオに推奨されます。このモードでは、既存の vSwitch を再利用するか、手動で作成する必要があります。プロセスはより複雑で、上級ユーザー向けです。
[NAT ファイアウォールの作成] パネルで、以下のパラメーターを設定します。
パラメーター
説明
基本情報
名前
NAT ファイアウォールのカスタム名を入力します。
ファイアウォールへの切り替え設定
ルートテーブルの選択
元のネクストホップが NAT Gateway であるルートテーブルを選択します。ファイアウォールが作成されると、ネクストホップは自動的に NAT ファイアウォールを指すように変更されます。これにより、プライベートアセットからのアウトバウンドトラフィックが NAT ファイアウォールに転送されます。
VSwitch CIDR ブロック (vSwitch を自動的に作成)
または
転送 VSwitch (vSwitch を手動で選択)
新しい vSwitch を [作成] するか、[既存] のものを選択できます。
新しい vSwitch CIDR ブロックを設定するためのルール:
ネットワークプランと競合しない、少なくとも /28 マスクを持つ vSwitch CIDR ブロックを指定する必要があります。この CIDR ブロックは、トラフィックリダイレクトのために NAT ファイアウォールに割り当てられます。
vSwitch CIDR ブロックは、VPC の CIDR ブロック (セカンダリ CIDR ブロックもサポート) のサブネットでなければならず、既存のサービス CIDR ブロックと競合してはなりません。割り当て後、Cloud Firewall はそれをカスタムトラフィックリダイレクトルートテーブルに自動的に関連付けます。
既存の vSwitch を選択する際の注意事項:
NAT ファイアウォールには、以下の要件を満たす vSwitch が必要です。詳細については、「VPC の作成と管理」をご参照ください。
vSwitch、NAT Gateway、および NAT ファイアウォールは、同じ VPC 内にある必要があります。
vSwitch と NAT Gateway は、同じアベイラビリティゾーンにある必要があります。
vSwitch CIDR ブロックは、少なくとも /28 マスクを持ち、利用可能な IP アドレスの数が NAT Gateway にバインドされている EIP の数より多い必要があります。
vSwitch は、他のクラウドリソースに接続されていてはなりません。
新しいルートテーブルを作成し、それを vSwitch に関連付けます。詳細については、「ルートテーブルの作成と管理」をご参照ください。
(オプション) 必要に応じて、`0.0.0.0/0` ルート以外のカスタムルートエントリを新しいルートテーブルに追加します。詳細については、「カスタムルートテーブルを使用してネットワークトラフィックを管理する」をご参照ください。
たとえば、サービスが VPC 間の通信を必要とする場合、VPC のリターンルートをルートテーブルに手動で追加する必要があります。
説明対象の vSwitch が vSwitch リストに表示されない、またはグレーアウトしている場合は、vSwitch が他のクラウドリソースまたはカスタムルートテーブルに関連付けられているかどうかを確認してください。vSwitch の設定が正しいことを確認した後、NAT Firewall タブに移動し、右上隅の Synchronize Assets をクリックします。
エンジンモード
エンジンモード
アクセス制御ポリシーの照合モードです。
緩いモード (デフォルト): このモードでは、アプリケーションまたはドメインのアクセス制御ポリシーが未識別のアプリケーションまたはドメインからのトラフィックに遭遇した場合、そのトラフィックは通過を許可されます。このモードは、サービスの可用性を優先します。
厳密モード: このモードでは、アプリケーションまたはドメインのアクセス制御ポリシーが未識別のアプリケーションまたはドメインからのトラフィックに遭遇した場合、そのトラフィックは後続のポリシーに渡されてさらに照合されます。拒否ポリシーが未識別のトラフィックに一致した場合、それはブロックされます。
[上記注意事項を読み、確認しました] を選択し、[ファイアウォールを有効化] をクリックします。
NAT ファイアウォールが作成された後、手動で [有効ステータス] を [有効] に変更する必要があります。
ファイアウォールを有効にすると、トラフィックは Cloud Firewall を経由して再ルーティングされ、トラフィックが保護されます。
次のステップ
NAT ファイアウォールを作成した後、アクセス制御ポリシーを設定し、アクセスログを表示して、プライベートアセットとインターネット間のトラフィックを制御できます。
アクセス制御ポリシーの設定
アクセス制御ポリシーを設定しない場合、Cloud Firewall はデフォルトですべてのトラフィックを許可します。NAT ファイアウォールのアクセス制御ポリシーを作成することで、プライベートアセットからのアウトバウンドインターネットトラフィックを詳細に制御できます。
ページに移動します。対象の NAT ファイアウォールの 操作する 列で、
アイコンをクリックし、アクセス制御 を選択します。
表示されたページで、NAT ファイアウォールのアクセス制御ポリシーを作成できます。詳細については、「NAT ファイアウォールのアクセス制御ポリシーの設定」をご参照ください。
監査ログのクエリ
ページに移動します。対象の NAT ファイアウォールの 操作する 列で、
アイコンをクリックし、ログ監査 を選択します。
表示されたページで、プライベートネットワークからのアウトバウンドトラフィックのログをクエリできます。詳細については、「ログ監査」をご参照ください。
トラフィック分析の表示
ページに移動します。対象の NAT ファイアウォールの 操作する 列で、
アイコンをクリックし、トラフィック分析 を選択します。
表示されたページで、NAT Gateway のアウトバウンドインターネットトラフィックのトラフィック分析を表示できます。詳細については、「アウトバウンド接続」をご参照ください。
NAT プライベートトラフィック統計の表示
左側のナビゲーションウィンドウで、概要 をクリックします。概要 ページで、右上隅の 購入済みの仕様と使用状況 をクリックします。NAT プライベートトラフィックの処理能力、最近のトラフィックピーク、NAT ファイアウォールライセンスの使用状況を表示できます。
NAT ファイアウォール vSwitch リスト
ページに移動します。NAT ファイアウォールリストの右上隅にある ファイアウォール vSwitch リスト をクリックします。
NAT ファイアウォールリストのフィールド
タブのリストには、アカウント下のすべての NAT Gateway アセットとその NAT ファイアウォールのステータスが表示されます。[UID/NAT ファイアウォール ID/名前] 列で、NAT ファイアウォールと NAT Gateway アセットを区別できます。
この列に ID:proxy-nat-xxx 形式の識別子が表示される場合、NAT Gateway に NAT ファイアウォールが存在します。
この列に UID:xxx 形式の識別子のみが表示される場合、アセットに対して NAT ファイアウォールは作成されていません。
NAT ファイアウォールの無効化と削除
NAT ファイアウォールを無効にすると、ルート切り替えが発生し、長時間接続で 1~2 秒の瞬断が発生します。この操作はオフピーク時間中に実行することを推奨します。無効にした後にファイアウォールを削除しても、ご利用のサービスに影響はありません。
NAT ファイアウォールを無効にせずに削除した場合、システムは両方のアクションを同時に実行するため、これも長時間接続で 1~2 秒の瞬断を引き起こします。
NAT ファイアウォールの無効化
ページに移動します。対象のファイアウォールを見つけ、その スイッチ 列のスイッチをオフにします。
NAT ファイアウォールの削除
ページに移動します。対象のファイアウォールを見つけ、その 操作する 列の
アイコンをクリックし、削除 を選択します。
関連トピック
プライベートアセットから特定のウェブサイトドメインへのトラフィックを制御するには、「プライベートホストが指定されたドメインのみにアクセスできるようにするポリシーの設定」をご参照ください。
NAT ファイアウォールのトラフィックログを使用して、アセットのトラフィックを表示できます。詳細については、「ログ監査」をご参照ください。